新农合村卫生室终端安全管理解决方案医疗.doc

新农合村卫生室终端安全管理解决方案周松柏背景当前，根据卫生部关于规范城乡居民健康档案管理的指导意见，为了达到“到2011年底前，农村达到30%，城市达到50%”的工作目标，全国各省、市、区正在大力推进将新农合终端延伸到行政村一级，这给新农合医保网络的安全管理带来了新的挑战。挑战 层出不穷的病毒永远都是先有病毒，再有病毒防护的手段（病毒定义）。根据Symantec在全球互联网收集的信息，2010年度平均每天新产生的病毒签名超过了15000种，即使能够及时更新病毒定义，这么庞大的定义库也会让任何一台PC终端性能无法支撑，直至瘫痪。而病毒的破坏不仅仅是让用户感到厌烦这么简单，无论是早几年的冲击波，还是最近几年的ARP病毒，都让很多用户吃尽了苦头，甚至导致整个局域网瘫痪。因此，病毒的防范是每一位IT管理者都不得不认真对待的挑战。 地理位置极度分散和传统的网络管理不同，新农合村卫生室终端电脑分布在每一个行政村，这会直接导致很多安全和管理方面的问题。由于村卫生室的终端使用者基本上不具有电脑维护的经验和基础知识，一旦终端出现问题，是很难得到技术支持的。不管是硬件故障、系统软件故障、还是应用软件问题，排除故障所需的技术能力和资源都很难获得。如果不能很好地解决技术支持的问题，将会导致参保农民的满意度降低，而这是谁都不愿意看到的。 网络带宽匮乏在很多较为落后的地区，甚至连ADSL线路都没有，可能还需要利用非常原始的56k调制解调器拨号上网。在这种情况下，要想通过网络进行一些病毒定义更新、补丁更新等工作都非常困难，反过来造成信息安全风险更大。 终端接入不受控终端的安全管理松散，更放大了整个新农合医保网络的安全风险，由于需要接入的终端分布在各个行政村，导致终端很难统一管理，一旦很多终端的安全状况失控，会给新农合医保网络和数据中心造成更大的安全威胁。Symantec的解决方案为了达到保护村卫生室和整个新农合医保网络安全和降低终端维护工作量的目的，赛门铁克提供了一整套专门针对村卫生室终端安全管理的解决方案。该解决方案通过三级保护来实现上述目标：1. 恢复。通过赛门铁克独有的应用虚拟化软件Symantec Workspace Virtualization实现医保应用软件客户端与操作系统之间的隔离。将医保应用软件虚拟化为一个专用的软件包，可以在任意Windows客户端之间移植，一旦应用软件发生崩溃，只需要对该软件包做一次“重置”，应用软件即可恢复到初始安装状态。当终端使用者打电话要求技术支持的时候，技术支持人员只需要让使用者尝试做一次“重置”操作，非常简单地就可以完成相当于应用软件重新安装配置的工作，而不需要出差到村卫生室去解决问题。利用赛门铁克独有的系统快速恢复软件Symantec System Recovery对终端整个系统做一次完整的备份，即可在发生系统崩溃时对终端进行完全的系统恢复，从而在发生诸如蓝屏、死机等一系列系统故障时，不需要出差到村卫生室去解决问题，而只需要培训指导使用者进行系统恢复即可；2. 保护。由于村卫生室终端专机专用的特点，在该终端上允许运行的应用程序非常单一，可以通过赛门铁克独有的系统锁定软件Symantec Critical System Protection进行系统锁定，通过集中的策略设置，控制所有村卫生室终端只允许运行操作系统和规定的应用程序，其他任何应用程序都被完全禁止，从而保护村卫生室终端免受病毒侵害，同时最大的好处在于不需要安装和更新防病毒软件、防病毒定义库以及安全补丁等。因为通过系统锁定，终端根本无需安装防病毒软件也仍然是安全的，就算有病毒进入机器，也根本无法发作，所以在这个锁定的终端上无需防病毒、打补丁，也无需禁止U盘的使用。该技术来自银行ATM机和部分高端医疗仪器的保护技术，经过多年的验证，非常可靠，而且最大的好处在于不需要为了更新防病毒和安全补丁而占用大量网络带宽；3. 控制。为了防止非法终端的私自接入，可以利用赛门铁克先进的网络准入控制系统Symantec Network Access Control进行控制。通过赛门铁克网络准入控制系统，将每一台村卫生室终端进行系统自动验证，只有符合策略要求的终端才能接入医保网络，任何没有安装赛门铁克安全控制软件的终端，都无法通过赛门铁克网络准入控制网关的验证，从而保证接入医保网络的终端都是安全的，也就进一步保障了医保网络内部的安全。方案实现的效果方案拓扑图如下：图1：部署架构通过采用赛门铁克独特的解决方案，可以实现如下效果： 医保网络“零”病毒通过赛门铁克系统锁定软件以及准入控制系统的保护，可以防止任何已知或未知病毒在医保网内传播。系统锁定软件SCSP确保在每一台终端无法运行任何未知的程序（包括病毒），准入控制确保任何未知的终端都无法接入医保网络，从而最终确保医保网络的“零”病毒！ 村卫生室终端“零”管理采用赛门铁克独有的应用虚拟化技术和系统快速恢复技术，基本上可以避免终端维护技术支持人员因软件或操作系统崩溃原因而出差到村卫生室进行支持的需要。同时由于有SCSP的保护，村卫生室终端不需要进行防病毒更新和安全补丁更新，大大节省了网络带宽的占用，也免去了防病毒和补丁更新的麻烦。关于赛门铁克赛门铁克公司是全球领先的基础架构软件供应商，致力于确保企业和个人消费者在互联世界中的信心。赛门铁克公司帮助用户保护基础架构、信息和交互，提供软件和服务来抵御对安全性、可用性、遵从和性能方面的风险威胁。公司总部设在美国加州的 Cupertino，现已在 40多个国家设有分支机构。要了解更多相关信息，欢迎访问赛门铁克公司网站：。欲知详情，请访问中文网址：。或垂询各地办事处:赛门铁克中国地区办事处北京电话：(010)85180008 传真：(010)85186718电话：(010)85183338 传真：(010)85186928上海电话：(021)32174788 传真：(021)52925291广州电话：(020)387